Experții în securitate cibernetică de la Aikido au identificat recent o tehnică sofisticată prin care atacatorii reușesc să distribuie malware într-un mod extrem de discret și greu de detectat.

Metoda constă în utilizarea invitațiilor trimise prin platforma Google Calendar, un serviciu de încredere, larg utilizat în mediile personale și profesionale, pentru a atrage victimele către resurse controlate de atacatori în scopul distribuirii de cod rău intenționat, atrage atenția Directoratul Național pentru Securitate Cibernetică.

Tehnica utilizată de atacatori a făcut obiectul unor investigații de lungă durată până la momentul când s-a concluzionat că modulul os-info-checker-es6 a primit un upgrade, respectiv versiunea 1.0.8 care a adus modificări semnificative în fișierul preinstall.js, ce evidențiază scopul ascuns al codului malițios.

Prin combinarea unor mecanisme tehnice subtile cu tactici de inginerie socială, atacatorii reușesc să strecoare fișiere periculoase într-un mediu care, la suprafață, pare legitim și inofensiv, conturând astfel un scenariu de atac complex și eficient, ce generează provocări considerabile pentru experții în securitate cibernetică.

Vector de atac

Atacatorii au utilizat caractere speciale Unicode din categoria Private Use Area (PUA), pentru a ascunde codul rău intenționat într-un mod care îl face invizibil în editoarele de text obișnuite. Aceste caractere sunt nealocate în standardul Unicode și pot fi folosite pentru a defini simboluri personalizate, fiind astfel ideale pentru mascarea codului.

Într-un caz specific, un pachet npm suspect numit os-info-checker-es6 conținea un binar Rust care pare legitim, dar care, la o analiză mai aprofundată, decodează caracterele PUA în instrucțiuni base64 care, la rândul lor, execută codul JavaScript rău intenționat.

Distribuire de viruși prin invitații Google Calendar

Malware-ul este livrat prin intermediul invitațiilor din Google Calendar care conțin linkuri către fișiere sau pagini controlate de atacatori. Aceste invitații pot părea legitime și pot conține descrieri sau atașamente care, odată accesate, duc la descărcarea sau execuția codului periculos.

Un exemplu este utilizarea unui link către o invitație Google Calendar care, la rândul său, conține un șir de caractere de tip base64 în titlul evenimentului. Acest șir de caractere este decodat pentru a accesa pachetul de date real de pe un server extern.

Pachetul os-info-checker-es6, disponibil în registrul npm (Node Package Manager), se prezintă la prima vedere ca o unealtă inofensivă, destinată colectării de informații despre sistemul de operare al utilizatorului (ex: versiunea sistemului, arhitectura, platforma etc.). Această funcționalitate este comună în multe aplicații legitime, ceea ce contribuie la mascarea intențiilor reale ale acestui pachet dăunător.

Comportament și tehnici utilizate

Odată instalat și executat, pachetul rulează un fișier binar scris în limbajul de programare Rust. Acest binar nu îndeplinește, de fapt, o funcție de diagnosticare sau analiză a sistemului de operare, ci este special conceput pentru a decodifica caractere speciale Unicode PUA, care au fost inserate în cod pentru a ascunde instrucțiuni periculoase.

După decodificare, aceste caractere sunt convertite într-un șir de caractere de tip base64, care este apoi transformat într-un pachet de date JavaScript rău intenționat și executat local.

Această metodă de execuție este extrem de eficientă în evitarea detectării, deoarece instrucțiunile periculoase nu sunt vizibile în codul sursă într-o formă obișnuită și nici nu declanșează alerte imediate în soluțiile antivirus sau de scanare statică.

Tehnica de mascare a codului

Codul periculos este mascat folosind caractere Unicode PUA, adică simboluri care nu sunt atribuite niciunui caracter vizibil în standardul Unicode și care, de regulă, sunt ignorate de editoarele de text și motoarele de analiză. Această strategie de camuflare face ca porțiuni importante din cod să fie invizibile pentru dezvoltatori sau analiști de securitate, dacă aceștia nu folosesc instrumente speciale de inspecție binară sau decodare a acestor caractere.

Campania folosește linkuri inserate în invitații Google Calendar pentru a redirecționa utilizatorii către pagini cu scopuri ascunse sau pentru a livra fișiere periculoase.

Metodă de livrare a malware-ului

O altă componentă a atacului presupune utilizarea platformei Google Calendar, o aplicație cloud extrem de populară și de încredere, ca vector de livrare a malware-ului. Atacatorii creează evenimente în Calendar și invită ținte neavizate prin intermediul funcționalității integrate de trimitere automată a invitațiilor. În câmpurile de titlu, descriere sau locație ale evenimentului, aceștia inserează linkuri către fișiere sau website-uri controlate de atacatori.

Aceste linkuri duc către resurse care pot conține malware descărcabil sau care execută cod în browser (ex. cod JavaScript mascat), eventual declanșând exploit-uri la nivel de sistem sau phishing.

Scopul și eficiența metodei

Principalul obiectiv al atacului este exploatarea încrederii utilizatorilor în platformele legitime precum Google Calendar, pentru a trece sub radarul soluțiilor tradiționale de securitate cibernetică.

Deoarece Google este o marcă de încredere, multe filtre de securitate permit automat livrarea de notificări, e-mailuri sau alerte de calendar provenite de la această platformă. Acest lucru oferă atacatorilor un canal „curat” prin care pot insera linkuri sau instrucțiuni dăunătoare, evitând astfel detectarea și blocarea de către soluțiile anti phishing sau antivirus.

Recomandările DNSC

Fiți precauți cu invitațiile nesolicitate sau suspecte în Google Calendar.

Activați opțiunea "Adăugați automat invitații" doar de la expeditori cunoscuți în setările Google Calendar.

Aplicați și monitorizați indicatorii de compromitere (IoC) în cadrul sistemelor de securitate, pentru a detecta o potențială compromitere și pentru a depista din timp tentativele de exploatare a vulnerabilității.

Mențineți actualizate toate aplicațiile și sistemele de operare pentru a beneficia de cele mai recente patch-uri de securitate.

Informați-vă și educați-vă cu privire la metodele de phishing și alte tehnici de inginerie socială, îndeamnă DNSC.

Utilizarea invitațiilor Google Calendar și a caracterelor Unicode PUA pentru livrarea de malware reprezintă o evoluție semnificativă în tacticile atacatorilor cibernetici.

Prin exploatarea platformelor de încredere și utilizarea tehnicilor avansate de mascare a codului, aceștia reușesc să ocolească măsurile tradiționale de securitate. Este esențial ca utilizatorii și organizațiile să fie vigilenți și să adopte practici de securitate cibernetică robuste pentru a se proteja împotriva acestor amenințări emergente.

Citește și: "Una dintre cele mai ușoare metode de manipulare este să oferi omului ceea ce este ușor să înțeleagă și ce vrea să audă"